思科调查：你越信任HTTPS，越容易被攻击

诈骗犯们似乎已经开始尝试去透支消费者们对HTTPS的信任了，他们不断的通过在欺诈网址上使用该协议来赢得消费者的信任，但却又一次又一次的对他们实施网络钓鱼攻击。

思科Talos团队的研究人员Anna Shirokova和Ivan Nikolaev写道：

事实上在过去的一段时间里，安全界一直在教育用户通信安全的重要性。用户不断的被告知使用HTTPS可以确保这一链接的安全性。

他们说，用户不断提高的安全意识似乎已经形成了一个“奇怪的副作用”，他们开始信任任何使用HTTPS的安全信息，而这些信任却越来越多地被骗子滥用，特别是通过网络钓鱼攻击。

他们这样写道：“在我们的分析中，我们已经观察到很多用于网络钓鱼的域名通过诈骗者提供的假技术支持，不断的向客户宣传质量可疑的产品。”

攻击者正在冒充诸如Apple.com，Facebook.com，Microsoft.com和PayPal.com等知名域名，并且将他们用作网络钓鱼域名的虚假网站，如apple.com-133[.]com and facebook.com-secured[.]com，并且具有合法证书。

这意味着访问域名并查看该URL的用户将看到一点绿色的锁定，但很少有人检查实际的证书。

网络钓鱼邮件通常链接到欺骗性网站，当他们在移动浏览器或狭窄的浏览器窗口中查看时，目标所看到的唯一的事情是URL和欺诈域的前半部分（如Microsoft.com-pl-lot1[.]oficjalne-prezenty-gadzet[.]top.。研究人员说，攻击者正在利用证书颁发机构，例如免费提供证书的Let's Encrypt，而这一点完全没有问题。

“我们承认这里存在一个问题，但是解决方案并不是很清楚，”Let’s Encrypt的执行总监Josh Aas说。他指出，Let’s Encrypt的主要任务是防止网络上的监督和审查。

Aas表示，证书颁发机构不应主观地禁止域名获取证书，因为这将导致基本上都是对HTTPS来进行审查，因为HTTPS目前已经变得更加强制。网络钓鱼网站滥用SSL和TLS证书并不是什么新鲜事。上个月，SSL商店的一份报告说，去年，在域名或证书身份中包含“PayPal”字样的网站发布了15,270张免费SSL证书。它声称有97％是发给网络钓鱼网站的。

问题的症结在于这个绿色的锁，人们并不知道这是什么意思，只是简单的理解为是安全的。但事实上这意味着这个链接是加密的，而不是说网站的内容是安全的。

而根据Aas的说法，现在最好的做法其实是依靠Google Safe Browsing和Microsoft Smartscreen这样的框架，因为他们有能力阻止并报告给用户当前网站是不安全的。